本文詳細介紹了實現澳洲網路安全中心 (ACSC) 修補應用程式的基本八成熟度模型的方法。
ISM 控制項和修補程式應用程式成熟度等級
下表概述了修補程式應用程式 Essential Eight 控制項的成熟度層級 1 (ML1) 、成熟度層級 2 (ML2) ,以及修補程式應用程式 Essential Eight 控制 項的成熟度層級 3 (ML3) 與 ISM 之間的對應。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| ISM-0304 號 | 3 | 除辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體、Adobe Flash Player 以及供應商不再支援的安全產品之外的應用程式將被刪除。 | 使用 Intune 的應用程式管理方法,會移除不支援的應用程式。 |
| ISM-1690 號 | 1, 2, 3 | 當供應商將漏洞評估為非嚴重且不存在有效的漏洞時,會在發布後兩週內套用針對線上服務漏洞的修補程式、更新或其他供應商緩解措施。 | Microsoft 會定期更新和修補 Intune 服務,以確保不存在有效的惡意探索。 |
| ISM-1691 號 | 1, 2 | 針對辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品中的漏洞的修補程式、更新或其他供應商緩解措施將在發布後兩週內套用。 | 使用商務用 Windows Update 和定義的更新通道,修補程式會在 2 週的發行後安裝。 若要安裝電子郵件用戶端、PDF 軟體和安全性產品的最新修補程式,會使用 Intune 應用程式部署方法。 |
| ISM-1692 號 | 3 | 當供應商評估漏洞為嚴重或存在有效漏洞時,將在發布後 48 小時內應用針對辦公生產力套件、Web 瀏覽器及其擴展、電子郵件客戶端、PDF 軟件和安全產品中漏洞的補丁、更新或其他緩解措施。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行後 48 小時內部署修補程式。 |
| ISM-1693 號 | 2, 3 | 針對辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品以外的應用程式中的漏洞的修補程式、更新或其他供應商緩解措施將在發布後一個月內套用。 | Intune 應用程式部署方法可用來在發行後一個月內部署應用程式修補程式。 |
| ISM-1698 | 1, 2, 3 | 至少每天使用漏洞掃描器來識別線上服務中漏洞的缺失修補程式或更新。 | 裝置會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| ISM-1699 號 | 1, 2, 3 | 漏洞掃描器至少每週使用一次,以識別辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品中漏洞的缺失修補程式或更新。 | 裝置會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| ISM-1700 號 | 2, 3 | 漏洞掃描程序至少每兩週使用一次,以識別辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品以外的應用程式中缺少的漏洞修補程式或更新。 | 裝置會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| ISM-17041 | 1, 2, 3 | 已移除廠商不再支援的辦公室生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體、Adobe Flash Player 以及安全性產品。 | Intune 應用程式部署方法可用來移除不支援的應用程式和延伸模組。 |
| ISM-18071 號 | 1, 2, 3 | 至少每兩週使用一次自動化的資產探索方法,以支援後續漏洞掃描活動的資產偵測。 | 使用掃描器執行資產探索並維護資產庫存。 |
| ISM-18081 號 | 1, 2, 3 | 具有最新漏洞資料庫的漏洞掃描器用於漏洞掃描活動。 | DVM 的漏洞資料庫會隨著 Microsoft 和其他公司發現您網路上安裝的軟體中的漏洞而不斷更新 |
| ISM-1876 號 | 1, 2, 3 | 當供應商評估漏洞為嚴重或存在有效漏洞時,會在發布後 48 小時內套用針對線上服務漏洞的修補程式、更新或其他供應商緩解措施。 | Microsoft 會定期更新和修補 Intune 服務,以確保不存在有效的惡意探索。 |
| ISM-1901 號 | 3 | 當供應商將漏洞評估為非關鍵且不存在有效漏洞時,將在發布後兩週內應用針對辦公生產力套件、Web 瀏覽器及其擴展、電子郵件客戶端、PDF 軟件和安全產品中漏洞的補丁、更新或其他緩解措施。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行後兩週內部署修補程式。 |
| ISM-1905 號 | 1, 2, 3 | 廠商不再支援的線上服務會被移除。 | IT 系統管理員會停用與廠商不再支援的線上服務相關聯的所有帳戶和連接器。 |
注意事項
1 這些控制項涵蓋 Essential 8 中的修補程式應用程式和修補程式作業系統。
Microsoft Defender 弱點管理 (DVM)
發現新的安全漏洞以及對手的中斷可能隨時發生。 因此,組織應確保及時解決安全漏洞。 當廠商發行修補程式時,應根據下列考量來套用修補程式:
- 與組織面臨安全漏洞的暴露程度相稱的時間範圍,
- 組織旨在保護自己免受的網路威脅程度;和
- 他們希望達到的 ML 級別
許多組織面臨的一個問題是缺乏對其環境真實修補程式狀態的可見性。 這種缺乏可見性可能會使組織在不知不覺中受到對手的利用。 當修補程式無法成功套用時,組織可能會錯誤地假設修補程式已套用,或報告修補程式已套用。 使用Microsoft Defender 弱點管理 (DVM) 可協助組織收集其環境中修補程式的相關資訊。 在無法使用弱點掃描器的特殊情況下,組織應參考供應商文件,瞭解如何識別修補層級並進行手動稽核。
由於 Essential 8 概述了一套最低限度的預防措施,如果評估為環境需要,組織需要實施更多措施。 此外,雖然 Essential 8 可以幫助減輕大多數網絡威脅,但它並不能減輕所有網絡威脅。 需要考慮更多的緩解策略和安全控制,例如 緩解網絡安全事件的策略 和 ISM) (信息安全手冊 。
實作 – 修補程式應用程式
控制特定指引
此控制項有兩個主要元件。 一個是發現漏洞的技術,另一個是組織的漏洞管理流程。
- 技術:漏洞掃描器和修補程式推出系統等技術可以幫助組織。 漏洞掃描程序有助於收集有關易受攻擊的應用程序和環境中丟失的補丁的信息。
- 程序:定義漏洞管理計劃的組織流程,以發現、識別、分類、風險評估以及修復或減輕漏洞。 組織還應該有一個流程,強制將系統引入自動化漏洞掃描器或具有等效的解決方法,例如設置來自供應商的電子郵件通知。 如果無法使用弱點掃描器,組織應參閱供應商文件,瞭解如何識別修補層級並進行手動稽核。 對於應用程式修補控制,漏洞管理程序及其任務在實現 ACSC 定義的成熟度等級方面發揮關鍵作用。 及時推出修補程式對於漏洞管理流程至關重要。 因此,組織必須將修補程式推出時間表定義為其 Essential 8 ML 層級的一部分。 此外,它們還需要使用角色、責任矩陣或等效模型為團隊定義責任。
使用 Microsoft 平台實作
有效識別、評估和修復系統中的弱點對於運行健康的安全計劃和降低組織風險至關重要。 Microsoft Defender 弱點管理 (DVM) 可作為減少組織風險、強化端點外表面積和提高組織彈性的基礎設施。
DVM 可用於使用者端點和伺服器。 對於其他雲端資源,例如存放庫、容器等,適用於雲端的 Defender 提供弱點管理功能。 以下各節將說明這兩種解決方案。
如需詳細資訊,請參閱:
發現資產
Defender 弱點管理內建和無代理程式掃描器會持續監視和偵測組織中的風險,即使裝置未連線到公司網路也一樣。 單一清單具有組織軟體應用程式、數位憑證、網路共用和瀏覽器擴充功能的即時整合檢視,可協助您探索和評估組織的所有資產。 檢視延伸模組許可權和相關風險層級的相關資訊、在憑證到期之前識別憑證、偵測因簽章演算法弱而導致的潛在弱點,以及評估內部網路共用中的錯誤設定。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| 1807 | 1, 2, 3 | 至少每兩週使用一次自動化的資產探索方法,以支援後續漏洞掃描活動的資產偵測。 | 使用掃描器執行資產探索並維護資產庫存。 |
漏洞發現
Defender 弱點管理 (DVM) 提供資產可見性、智慧評估和內建補救工具。 DVM 可用於 Windows、macOS、Linux、Android、iOS 和網路裝置。 當組織使用 Microsoft 威脅情報、入侵可能性預測、商務內容和裝置評定時,Defender 弱點管理會快速且持續地排定最重要資產上最大弱點的優先順序,並提供安全性建議以降低風險。
DVM 中的軟體庫存提供組織中已知軟體的清單。 清單檢視包含詳細資料,例如廠商名稱、弱點數目、威脅和暴露裝置數目。
針對探索,Microsoft 會使用一組相同的訊號,負責適用於端點的 Microsoft Defender 偵測和回應功能中的偵測和弱點評量。 由於它是即時的,因此在幾分鐘內,漏洞資訊就會在被發現時顯示在入口網站中。 漏洞管理使用通用平台列舉 (CPE) 來識別軟體以及與軟體相關聯的任何漏洞。 引擎會自動從多個安全來源中獲取資訊。 事實上,查看特定軟體是否與即時威脅活動相關。 它還會在威脅分析報告可用時立即提供連結。
注意事項
對於沒有CPE的軟體產品,軟體會顯示在清單頁面中。 不過,弱點管理不支援沒有 CPE 的軟體,而且此軟體無法使用惡意探索、公開裝置數目和弱點等資訊。
下列步驟說明使用 DVM 的上線程式和弱點探索:
授權需求
- Microsoft Defender 弱點管理 (DVM) ,新的獨立產品提供完整的漏洞工具和功能集;或
- 適用於端點的 Microsoft Defender 方案 2 或 E5 授權提供核心弱點管理功能的子集。 DVM 的全部功能可作為附加組件提供
兩個授權供應專案的功能比較可在下列連結上取得:比較 Microsoft Defender 弱點管理供應專案。
針對伺服器資源,已針對伺服器或上線至適用於端點的 Defender 伺服器啟用適用於雲端的 Defender 方案。
針對其他雲端資源,必須啟用特定的適用於雲端的 Defender 方案。 例如,若要掃描容器登錄,必須在雲端環境中啟用適用於容器的 Defender 方案。
存取 DVM 入口網站
DVM 資訊可在 Microsoft Defender 入口網站中使用。 該門戶可通過 Microsoft Edge (推薦的) 或 Google Chrome 瀏覽器訪問。 若要存取入口網站,您至少應該是「安全性讀取者」AD 內建角色的一部分。 管理入口網站存取權的詳細資訊記載於此連結:使用角色型存取控制來授與 Microsoft Defender 入口網站的精細存取權。
將裝置上線至 DVM
- 對於已上線至適用於端點的 Defender (具有 P2 授權) 的裝置,DVM 功能會在入口網站中啟用並可供Microsoft Defender使用
- 對於未上線至適用於端點的 Defender 的裝置,DVM 至少需要以封鎖模式執行的適用於端點的 Defender,也就是以被動模式執行
Microsoft 已建立多種方式,將裝置上線至適用於端點的 Defender,例如群組原則、端點管理員或本機腳本。 詳細指引記載於 上線裝置 並設定適用於端點的 Microsoft Defender 功能。
支援的作業系統記載在下列連結中: 支援的作業系統平台和功能
使用 DVM 探索弱點
Microsoft Defender 入口網站中的 [弱點管理] 區段提供儀錶板,以檢視弱點暴露和安全性建議的快速深入解析,如下列範例螢幕快照所示。
「軟體清單」頁面包含網路中安裝的軟體清單,包括供應商名稱、發現的弱點、與之相關的威脅、暴露的裝置、暴露分數和標籤。
您也可以導覽至「裝置清單」頁面,以尋找特定裝置上的軟體清單。 選取裝置名稱以開啟裝置頁面, (例如 Computer1) ,然後選取 [軟體清查] 索引標籤,以查看裝置上存在的所有已知軟體清單。 選取特定的軟體專案,以開啟包含詳細資訊的飛出視窗。
開啟特定軟體頁面可提供有關應用程式的更多詳細資訊,如以下螢幕截圖所示:
- 針對已識別的弱點和弱點的相應安全建議
- 已發現漏洞的具名 CVE
- 安裝了軟體的裝置 (以及裝置名稱、網域、作業系統等)
- 軟體版本清單 (包括安裝該版本的裝置數量、發現的漏洞數量以及已安裝裝置的名稱)
同樣地,您可以使用 DVM 檢視瀏覽器延伸及憑證的弱點評估。
漏洞管理功能也延伸至伺服器作業系統。 上線至適用於雲端的 Defender (適用於伺服器的 Defender 方案的伺服器) ,並設定為使用Defender 弱點管理會出現在入口網站Microsoft Defender。 弱點管理資訊也會在適用於雲端的 Defender 入口網站中同步處理,以取得可見度。
對於CPE或漏洞評估解決方案不支援的應用程式或軟體產品,安全團隊應該有其他方法來識別漏洞。 其他方法包括向應用程式供應商訂閱電子郵件,以接收有關應用程式更新和相關漏洞的通知。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| 1808 | 1, 2, 3 | 具有最新漏洞資料庫的漏洞掃描器用於漏洞掃描活動。 | DVM 的漏洞資料庫會隨著 Microsoft 和其他公司發現您網路上安裝的軟體中的漏洞而不斷更新 |
| 1698 | 1, 2, 3 | 至少每天使用漏洞掃描器來識別線上服務中漏洞的缺失修補程式或更新。 | 裝置會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險 |
| 1699 | 1, 2, 3 | 漏洞掃描器至少每週使用一次,以識別辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品中漏洞的缺失修補程式或更新。 | 裝置會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險 |
| 1700 | 2, 3 | 漏洞掃描程序至少每兩週使用一次,以識別辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品以外的應用程式中缺少的漏洞修補程式或更新。 | 裝置會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| 1901 | 3 | 當供應商將漏洞評估為非關鍵且不存在有效漏洞時,將在發布後兩週內應用針對辦公生產力套件、Web 瀏覽器及其擴展、電子郵件客戶端、PDF 軟件和安全產品中漏洞的補丁、更新或其他緩解措施。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行後兩週內部署修補程式。 |
使用 DVM 和 Intune 整合來排定弱點的優先順序並補救
組織中識別的網路安全弱點會對應至可採取動作的安全建議,並依其影響排定優先順序。 優先建議可協助縮短緩和或補救弱點及推動合規性的時間。 我們也建議 定義裝置的價值 ,以區分資產優先順序。 裝置值可用來將個別資產的風險偏好納入威脅與弱點管理暴露分數計算中。 指定為「高價值」的裝置會獲得更多權重。
每個安全性建議包含可採取動作的補救步驟。 為了協助工作管理,也可以使用 Microsoft Intune 傳送建議。 當威脅形勢改變時,建議也會隨之變更,因為它會持續從您環境中收集資訊。
注意事項
對於沒有CPE的軟體產品,軟體會顯示在清單頁面中。 不過,弱點管理不支援沒有 CPE 的軟體,而且此軟體無法使用惡意探索、公開裝置數目和弱點等資訊。
在某些情況下,Microsoft 解決方案提供的風險和優先順序可能不夠,因為可能存在系統複雜性。 因此,在這種情況下,建議根據系統內容對嚴重或零時差漏洞執行其他風險評估。 在此過程中,組織應盡量減少任何例外情況及其範圍。 例如,透過實施補償性安全控制並確保最大限度地減少受影響的系統或使用者數量。 為解決弱點而實作的任何例外狀況或補償控制措施都應記錄下來,並透過適當的程式核准。
DVM 功能旨在透過補救要求工作流程來彌合安全與 IT 管理員之間的差距。 DVM 補救動作可以使用原生整合,在 Microsoft Endpoint Manager 中產生補救工作。 DVM API 可用來在需要時使用非 Microsoft 工具協調補救程式和動作。
下列步驟說明使用 DVM 和 Endpoint Manager 的修復工作流程:
- 若要使用補救工作流程功能,請啟用您的 Microsoft Intune 連線。 在 Microsoft Defender 入口網站中,流覽至 [設定>] [端點] [>一般]> [進階功能]。
- 向下捲動並尋找 Microsoft Intune 連線。 依預設,切換會關閉。 開啟 Microsoft Intune 連線切換。
注意事項
如果您已啟用 Intune 連線,則可以在建立補救要求時選擇建立 Intune 安全性工作。 如果未設定連線,則不會出現此選項。
移至 Microsoft Defender 入口網站中的 [弱點管理導覽功能表],然後選取 [建議]。 選取您要要求補救的安全性建議,然後選取 [補救選項]。 填寫表單,包括您要求補救的內容、適用的裝置群組、優先順序、到期日和選用附註。 下列螢幕擷取畫面提供這些步驟的參考:
要求所選弱點的補救 要求所
選取補救選項和優先順序 選取補
提交補救要求會在弱點管理內建立補救活動項目,可用來監控此建議的補救進度。 當您從 [安全性建議] 頁面提交修復請求時,它會啟動修復活動。 系統會建立可在 [補救] 頁面上追蹤的安全性工作,並在 Microsoft Intune 中建立補救票證。 這不會觸發補救或將任何變更套用至裝置。 下圖顯示在 Intune 中建立的安全性工作:
在 Intune 中針對補救要求建立的安全性工作在
Intune 系統管理員會選取安全性工作,以檢視工作的詳細數據。 系統管理員接著選取 [接受],這會更新 Intune 中的狀態,並在適用於端點的 Defender 中更新為 [接受]。
然後,系統管理員會根據提供的指引補救工作。 指引會根據所需的補救類型而有所不同。 如果可用,補救指引會包含在 Intune 中開啟設定相關窗格的連結。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| 1690 | 1, 2, 3 | 當供應商將漏洞評估為非嚴重且不存在有效的漏洞時,會在發布後兩週內套用針對線上服務漏洞的修補程式、更新或其他供應商緩解措施。 | Microsoft 會定期更新和修補 Intune 服務,以確保不存在有效的惡意探索。 |
| 1691 | 1, 2 | 針對辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品中漏洞的修補程式、更新或其他供應商緩解措施將在發布後兩週內套用。 | 使用商務用 Windows Update 和定義的更新通道,修補程式會在 2 週的發行後安裝。 若要安裝電子郵件用戶端、PDF 軟體和安全性產品的最新修補程式,會使用 Intune 應用程式部署方法。 |
| 1692 | 3 | 當供應商評估漏洞為嚴重或存在有效漏洞時,將在發布後 48 小時內應用針對辦公室生產力套件、Web 瀏覽器及其擴展、電子郵件客戶端、PDF 軟件和安全產品中漏洞的補丁、更新或其他緩解措施。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行後 48 小時內部署修補程式。 |
| 1693 | 2, 3 | 針對辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品以外的應用程式中的漏洞的修補程式、更新或其他供應商緩解措施將在發布後一個月內套用。 | Intune 應用程式部署方法可用來在發行後一個月內部署應用程式修補程式。 |
| 1704 | 1, 2, 3 | 已移除廠商不再支援的辦公室生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體、Adobe Flash Player 以及安全性產品。 | Intune 應用程式部署方法可用來移除不支援的應用程式和延伸模組。 |
| 0304 | 3 | 除辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體、Adobe Flash Player 以及供應商不再支援的安全產品之外的應用程式將被刪除。 | 使用 Intune 的應用程式管理方法,會移除不支援的應用程式。 |
| 1876 | 1, 2, 3 | 當供應商評估漏洞為嚴重或存在有效漏洞時,會在發布後 48 小時內套用針對線上服務漏洞的修補程式、更新或其他供應商緩解措施。 | Microsoft 會定期更新和修補 Intune 服務,以確保不存在有效的惡意探索。 |
探索並修復雲端和內部部署資源的弱點
適用於雲端的 Defender 為許多服務提供弱點評估功能。 這些服務包括伺服器、Azure Container Registry、Amazon Elastic Container Registry、Azure SQL 資料庫、SQL 資料庫伺服器和 DevOps。 若要提供特定雲端資源的弱點評估,必須開啟具有 Azure 訂用帳戶或 Amazon 帳戶的適用於雲端的 Defender 方案。
適用於雲端的 Defender 會從 Azure 虛擬機器 (VM 收集資料, VM) 、虛擬機器擴展集、IaaS 容器和非 Azure (,包括內部部署) 機器,以監視安全性弱點和威脅。 某些 Defender 方案需要監視元件,才能從工作負載收集資料。 需要資料收集,才能提供遺失更新、設定錯誤的 OS 安全性設定、端點保護狀態,以及健康情況和威脅防護的可見度。 只有計算資源 (例如 VM、虛擬機器擴展集、IaaS 容器和非 Azure 電腦) 才需要資料收集。
修補線上服務以應對弱點
Intune 的新功能發行通常有六到八週的節奏,從規劃到發行。 這種節奏稱為衝刺。 Intune 版本會使用 YYMM 命名慣例。 例如,2301 是 2023 年 1 月的版本。
每月發行程式牽涉許多不同的環境,並部署至多個 Azure 服務。 部署至 Azure 之後,版本更新會部署至 Intune 系統管理中心,讓您可以使用版本功能。
稱為「自我主機」的內部環境是第一個接收版本的環境。 自我裝載僅供 Intune 工程小組使用。 在自我主機之後,服務版本會部署至管理許多裝置的 Microsoft 租用戶。 一旦驗證服務版本沒有關鍵問題,版本就會開始以分階段方法部署至客戶環境。 成功更新所有租用戶之後,就會更新 Microsoft Intune 系統管理中心。 這種分階段的方法有助於在問題影響服務或我們的客戶之前發現問題。
更新公司入口網站應用程式是不同的程式。 Microsoft 受限於 Apple App Store、Google Play,有時還有行動電信業者的發行要求和程式。 不一定可以將 Intune 版本更新與公司入口網站應用程式的更新對齊。 如需公司入口網站應用程式更新的詳細資訊,請參閱 Intune 使用者應用程式的 UI 更新。
修補程式應用程式
應用程式可分為兩類:
- 具有自動更新功能的應用程式 (建議) 。
- 必須手動封裝和部署更新的應用程式。
根據使用者執行的 Windows 10/11 版本,支援特定應用程式類型。 如需特定支援的應用程式,請參閱 支援的 Windows 應用程式類型。
當商務用 Windows Update 或自動修補設定為更新 Windows OS 和 Microsoft 產品時,Office C2R 和 Microsoft Edge 會更新。
Microsoft Store 應用程序具有自我更新的功能。 如果應用程式部署為 .IntuneWin (也就是 Win32 應用程式) ,您可以使用 Intune 在應用程式之間建立一或多個取代關聯性。 一般來說,取代是您更新或替換某些內容的地方。 在 Intune 中,取代可讓您更新現有的 Win32 應用程式,並將其取代為相同應用程式的較新版本或完全不同的 Win32 應用程式。
具有自動更新功能的應用程式
Microsoft Store 應用程式
系統管理員可以在 Intune 內瀏覽、部署和監視 Microsoft Store 應用程式。 部署時,Intune 會在新版本可供使用時自動讓應用程式保持最新狀態。 Microsoft Store 支援通用 Windows 平台 (UWP) 應用程式、封裝在 .msix 中的傳統型應用程式,以及現在封裝在 .exe 或 .msi 安裝程式中的 Win32 應用程式。
如需詳細資訊,請參閱 Microsoft Store 應用程式至 Microsoft Intune。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| ISM-0304 號 | 3 | 除辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體、Adobe Flash Player 以及供應商不再支援的安全產品之外的應用程式將被刪除。 | 使用 Intune 的應用程式管理方法,會移除不支援的應用程式。 |
| ISM-1693 號 | 2, 3 | 針對辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品以外的應用程式中的漏洞的修補程式、更新或其他供應商緩解措施將在發布後一個月內套用。 | Intune 應用程式部署方法可用來在發行後一個月內部署應用程式修補程式。 |
Microsoft Intune 企業應用程式管理
企業應用程式管理可讓 IT 和安全作業小組藉由提供安全的預先封裝應用程式目錄,簡化管理第一方和非 Microsoft 應用程式的生命週期。 這減少了 IT 管理員在打包應用程式和追蹤更新上花費的時間和精力。 透過此解決方案,IT 小組可以有效率地將修正程式部署至易受攻擊的應用程式,並確保所有應用程式都從 Intune 系統管理中心保持最新狀態。 新目錄的引入從 Windows 應用程序開始。
企業應用程式管理透過從單一易於使用的螢幕提供所有需要更新的應用程式的全面視圖,簡化和整合應用程式更新流程。 目錄中具有可用更新的應用程式清單會顯示目前版本和新版本。 傳統上監控更新以及收集應用程式相關資料和封裝所需的工作減少了,使管理員能夠專注於更具策略性的任務。
注意事項
Microsoft Intune 應用程式管理是 Intune 套件的一部分,需要額外的授權。
如需詳細資訊,請參閱 Microsoft Intune 應用程式管理,這是 Intune 套件的一部分。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| ISM-0304 號 | 3 | 除辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體、Adobe Flash Player 以及供應商不再支援的安全產品之外的應用程式將被刪除。 | 使用 Intune 的應用程式管理方法,會移除不支援的應用程式。 |
| ISM-1693 號 | 2, 3 | 針對辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品以外的應用程式中的漏洞的修補程式、更新或其他供應商緩解措施將在發布後一個月內套用。 | Intune 應用程式部署方法可用來在發行後一個月內部署應用程式修補程式。 |
必須手動封裝和部署更新的應用程式
本節涵蓋手動部署 .MSI、LOB:APPX/MSIX、Web Apps、市集連結。
提示
請考慮使用 Microsoft 市集應用程式來持續合規,因為它支援通用 Windows 平台 (UWP) 應用程式、封裝在 .msix 中的傳統型應用程式,以及封裝在 .exe 或 .msi 安裝程式中的 Win32 應用程式。
系統管理員必須手動上傳和部署 LOB 應用程式的更新。 這些更新會自動安裝在已安裝應用程式的使用者裝置上。 不需要使用者介入,而且使用者無法控制更新。 必須將指派類型變更為卸載,以解除安裝舊版應用程式。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| ISM-0304 號 | 3 | 除辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體、Adobe Flash Player 以及供應商不再支援的安全產品之外的應用程式將被刪除。 | 使用 Intune 的應用程式管理方法,會移除不支援的應用程式。 |
| ISM-1691 號 | 1, 2 | 針對辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品中的漏洞的修補程式、更新或其他供應商緩解措施將在發布後兩週內套用。 | 使用商務用 Windows Update 和定義的更新通道,修補程式會在 2 週的發行後安裝。 若要安裝電子郵件用戶端、PDF 軟體和安全性產品的最新修補程式,會使用 Intune 應用程式部署方法。 |
| ISM-1692 號 | 3 | 當供應商評估漏洞為嚴重或存在有效漏洞時,將在發布後 48 小時內應用針對辦公生產力套件、Web 瀏覽器及其擴展、電子郵件客戶端、PDF 軟件和安全產品中漏洞的補丁、更新或其他緩解措施。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行後 48 小時內部署修補程式。 |
| ISM-1693 號 | 2, 3 | 針對辦公室生產力套件、Web 瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全產品以外的應用程式中的漏洞的修補程式、更新或其他供應商緩解措施將在發布後一個月內套用。 | Intune 應用程式部署方法可用來在發行後一個月內部署應用程式修補程式。 |
| ISM-1704 號 | 1, 2, 3 | 已移除廠商不再支援的辦公室生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體、Adobe Flash Player 以及安全性產品。 | Intune 應用程式部署方法可用來移除不支援的應用程式和延伸模組。 |
| ISM-1901 號 | 3 | 當供應商將漏洞評估為非關鍵且不存在有效漏洞時,將在發布後兩週內應用針對辦公生產力套件、Web 瀏覽器及其擴展、電子郵件客戶端、PDF 軟件和安全產品中漏洞的補丁、更新或其他緩解措施。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行後兩週內部署修補程式。 |
移除不支援的線上服務
完成下列步驟,移除過時的線上服務:
- 如果已註冊企業應用程式,IT 系統管理員會登入 Microsoft Entra ID 入口網站並刪除應用程式。
注意事項
作為過渡步驟,可以停用線上服務相關服務帳戶的登入。
- 如果已建立連接器,則會使用 Intune 主控台在 [跨平臺連接器] 底下刪除連接器。
- IT 系統管理員會停用服務帳戶,並撤銷為驗證未使用 () 線上服務 而建立的憑證。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| ISM-1905 號 | 1, 2, 3 | 廠商不再支援的線上服務會被移除。 | IT 系統管理員會停用與供應商不再支援的線上服務相關聯的所有帳戶和連接器。 |